Pergunta: é possível configurar o SSHD para aplicar o fator 2 para todos os usuários, mas também permitir que o AWS EC2 Instance Connect continue funcionando?


A AWS tem esse recurso "EC2 Instance Connect", que fornece uma maneira de fazer o SSH como um usuário do Console da AWS. Ele usa APIs da AWS para colocar uma chave pública temporária na instância e então se conecta via ssh. (Pelo menos, acho que é o que faz)

Segui este guia para adicionar multifator ao ssh, no entanto, ele interrompe a capacidade de se conectar a esta instância do EC2 Instance Connect.

Eu acredito que ele não consegue se conectar, devido a esta linha em / etc / ssh / sshd_config: AuthenticationMethods publickey,keyboard-interactive- porque o AWS se conecta apenas por chave pública.

No entanto, esse artigo continua sugerindo que a nullokconfiguração em /etc/pam.d/sshddeve permitir aos usuários ignorar o fator 2 se eles não o configuraram (se ~ / .google_authenticator não existir no diretório inicial do usuário), que meu root e ec2 -usuários não têm. No entanto, ainda não consigo me conectar a partir do console como root ou usuário ec2.

Então, sim - há uma maneira de fazer isso funcionar para ambas as situações? Obrigado!

no answer